Warnmeldungen: Hinzufügen einer Datenerweiterungsquelle

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie eine zuvor konfigurierte Erweiterungsquelle zu einer Regel hinzugefügt wird. Wenn ESA eine Warnmeldung erstellt, werden die Informationen aus dieser Quelle einbezogen.

Mit Erweiterungen können Kontextinformationen in Korrelationslogiken und Warnmeldungsausgaben integriert werden. Ohne Erweiterungen stammen alle in einer ESA-Warnmeldung enthaltenen Informationen aus einem Core-Service. Mit Erweiterungen können Sie Suchvorgänge in einer Vielzahl von Quellen anfordern und die Ergebnisse in die ausgehenden Warnmeldungen integrieren. In der folgenden Abbildung ist die Erweiterungsfunktion dargestellt.

Erweiterung – Übersicht


Eine Erweiterungskonfiguration besteht aus zwei logischen Einheiten:

  • Erweiterungsquellen: Diese Quellen sind Datenspeicher für Kontextinformationen.
  • Erweiterungsverbindungen: Diese agieren als Verbindungselemente zwischen den Warnmeldungsmetadaten und den Quellspalten.

In ESA können Sie Verbindungen zwischen EPL-Anweisungen (Event Processing Language, Ereignisverarbeitungssprache) und Erweiterungsquellen herstellen. Sobald die Verbindungen hergestellt wurden, verbindet das System die ausgewählten Felder aus der Warnmeldungsausgabe mit den Informationen der Quellen und füllt die gesendete Warnmeldung mit den übereinstimmenden Daten. ESA kann Verbindungen mit folgenden Quellen herstellen:

  • Esper-Named-Windows
  • Relationale Datenbanktabellen
  • MaxMindGeoIP-Datenbank
  • RSA Warehouse Analytics-Watchlisten

Hinweis: Die Erweiterungsquelle GeoIP kann weder erstellt noch gelöscht werden. Sie wird dem Benutzer vorkonfiguriert bereitgestellt.

Beispielregel mit Erweiterung

In der folgenden Beispielregel wird die von ESA bereitgestellte Erweiterungsfunktion illustriert:

@RSAAlert @Name("simple") SELECT * FROM CoreEvent(ec_theme='Login Failure')

Die Regel erzeugt eine Warnmeldung für jede fehlgeschlagene Anmeldung und meldet somit, ob der folgende (vereinfachte) Ereignisstream von ESA empfangen wird:

  
sessionidec_themeusernameip_srcip_dsthost_dst
1Login Successdshrute23.xx.23x.16  
2Login Failurejhalpert23.xx.23x.1631.1x.x9.1x8www.facebook.com

 

Eine Warnmeldung mit dem folgenden Bestandteil events wird möglicherweise als Reaktion auf die zweite Sitzung erzeugt:

{
    "events": [
        {
            "username": "jhalpert",
            "host_dst": "www.facebook.com",
            "ip_dst": "31.1x.x9.1x8",
            "sessionid": 2,
            "ec_theme": "Login Failure",
            "esa_time": 1406148964130,
            "ip_src": "23.xx.23x.16"
        }
    ]
}

Die JSON-Ausgabe zeigt alle verfügbaren Informationen für die Integration in eine ESA-Benachrichtigung mit einer entsprechenden FreeMarker
-Vorlage an. Der Vorlagenausdruck ${events[0].username} wird beispielsweise mit jhalpert erfüllt.

Mit Erweiterungen kann dasselbe Modul mit demselben Ereignisstream die unten stehende Warnmeldung erzeugen. Das System
kann mehrere Erweiterungsverbindungen herstellen und Kontextdaten abrufen, damit die Warnmeldung aussagekräftiger wird.

Zum Beispiel:
${events[0]["RSADataScienceLookup"][0].score} ergibt eine Risikobewertung der Zieldomain, die vom RSA Warehouse Analytics-Modul berechnet wird. ${events[0]["orgchart"][0].supervisor} ergibt den Namen des Supervisors des Mitarbeiters, auf den sich die Warnmeldung bezieht (aus einer HR-Datenbank abgerufen). ${events[0]["LoginRegister"][0].username} ergibt den Namen des Benutzers, der sich zuletzt erfolgreich mit derselben ip_src (mit einem Stream-basierten benannten Fenster) angemeldet hat.

{"events": [
    {
        "username": "jhalpert",
        "host_dst": "www.facebook.com",
        "GeoIpLookup": [
        {
            "city": "Cambridge",
            "longitude": -71,
            "countryCode": "US",
            "areaCode": 617,
            "metroCode": 506,
            "region": "MA",
            "dmaCode": 506,
            "ipv4Obj": "/23.62.236.16",
            "countryName": "United States",
            "postalCode": "02142",
            "ipv4": "23.62.236.16",
            "latitude": 42,
            "organization": "Verizon Business"
        }
    ],
    "RSADataScienceLookup": [
        {
            "model_id": "suspiciousDomains_1",
            "_id": "EXEC_BATCH_1_20140630153740_facebook.com",
            "score": 10,
            "key": "www.facebook.com"
        }
    ],
    "orgchart": [
        {
            "supervisor": "mscott",
            "name": "James Halpert",
            "extension": 3692,
            "location": "Scranton",
            "department": "Sales",
            "id": "jhalpert"
        }
    ],
    "ip_dst": "31.13.69.128",
    "sessionid": 2,
    "LoginRegister": [
        {
            "username": "dshrute",
            "ip_src": "23.62.236.16"
        }
    ],
    "ec_theme": "Login Failure",
    "esa_time": 1406155218912,
    "ip_src": "23.62.236.16"
    }
]}

You are here
Table of Contents > Hinzufügen einer Datenerweiterungsquelle

Attachments

    Outcomes